Lorsque vous créez une passerelle, vous êtes automatiquement redirigé vers la page Configurer les passerelles (Configure Gateways), sur laquelle vous pouvez configurer les propriétés et d'autres paramètres supplémentaires pour la passerelle.
Pour configurer une passerelle existante :
Procédure
- Dans le portail partenaire de SASE Orchestrator, cliquez sur l'onglet Gestion des passerelles (Gateway Management) et accédez à Passerelles (Gateways) dans le volet de navigation de gauche.
La page Passerelles (Gateways) affiche la liste des passerelles disponibles.
- Cliquez sur le lien d'accès à une passerelle qui doit être configurée pour des paramètres supplémentaires. Les détails de la passerelle sélectionnée s'affichent sur la page Confgurer (Configure) > Passerelles (Gateways).
- Dans l'onglet Présentation (Overview), vous pouvez configurer les détails suivants :
Champ Description Propriétés (Properties) Affiche le nom et la description existants de la passerelle sélectionnée. Si nécessaire, vous pouvez modifier ces informations. Vous pouvez également configurer les rôles de passerelle, si nécessaire :- Plan de données (Data Plane) : permet à la passerelle de fonctionner dans le plan de données. Cette option est sélectionnée par défaut.
- Plan de contrôle (Control Plane) : permet à la passerelle de fonctionner dans le plan de contrôle. Cette option est sélectionnée par défaut.
- Passerelle VPN sécurisée (Secure VPN Gateway) : sélectionnez cette option pour utiliser la passerelle afin d'établir un tunnel IPsec vers un site Destination non-SD-WAN.
- Passerelle partenaire (Partner Gateway) : cochez cette case pour permettre à la passerelle d'être attribuée comme passerelle partenaire pour les dispositifs Edge. Si vous sélectionnez cette option, configurez les paramètres supplémentaires dans la section Détails de la passerelle partenaire (transfert avancé) (Partner Gateway [Advanced Handoff] Details).
- CDE : permet à la passerelle de fonctionner en mode d'environnement de données du titulaire de la carte (CDE, Cardholder Data Environment). Sélectionnez cette option pour attribuer la passerelle aux clients qui doivent transmettre le trafic PCI.
- Interconnexion entre deux clouds (Cloud-to-Cloud Interconnect) : sélectionnez l'option permettant d'activer les tunnels d'interconnexion entre deux clouds (CCI) sur les passerelles SD-WAN Gateway.
Note : Cette option Rôle de passerelle (Gateway Role) s'affiche si la propriété système
session.options.enableZscalerCci
est définie surTrue
. - Cloud Web Security : permet à un utilisateur opérateur disposant d'un rôle de super utilisateur ou standard de configurer une passerelle SD-WAN Gateway pour un rôle Cloud Web Security (CWS). Pour plus d'informations, reportez-vous au Guide de configuration de VMware SD-WAN Cloud Web Security publié à l'adresse https://docs.vmware.com/fr/VMware-Cloud-Web-Security/index.html.
État (Status) Vous pouvez configurer les détails suivants : - Status (État) : affiche l'état de la passerelle qui reflète la réussite ou l'échec des pulsations périodiques envoyées à Orchestrator. Voici les états disponibles :
- Connecté (Connected) : la passerelle envoie des pulsations à Orchestrator.
- Dégradé (Degraded) : Orchestrator n'a pas reçu de réponses de la passerelle depuis au moins une minute.
- Hors ligne (Offline) : Orchestrator n'a pas reçu de réponses de la passerelle depuis au moins deux minutes.
- État du service (Service State) : sélectionnez l'état du service de la passerelle parmi les options disponibles suivantes :
- En service (In Service) : la passerelle est connectée et elle est disponible pour les attributions de tunnel principale ou secondaire. Lorsque l'état de service de la passerelle passe de l'état Hors service (Out Of Service) à l'état En service (In Service), les attributions principale ou secondaire, les super passerelles et les routes entre deux dispositifs Edge sont recalculées pour chaque entreprise utilisant la passerelle.
- Service en attente (Pending Service) : la passerelle est connectée et est en attente d'attributions de tunnel.
- Out of Service (Hors service) : la passerelle n'est pas connectée ou n'est pas disponible pour les attributions. Toutes les attributions existantes sont supprimées.
- Suspendu (Quiesced) : le service de passerelle est suspendu ou en pause. Aucun nouveau tunnel ni site NSD ne peut être ajouté à la passerelle. Toutefois, les attributions existantes restent quand même dans la passerelle. Sélectionnez cet état à des fins de sauvegarde ou de maintenance.
Note : Les états Suspendu (Quiesced) et Hors service (Out of Service) s'appliquent uniquement au déploiement de la Passerelle de cloud.
Lorsque l'état de service est Suspendu (Quiesced), Orchestrator fournit une fonctionnalité de migration en libre-service qui permet d'effectuer une migration de votre passerelle existante vers une nouvelle passerelle sans l'assistance de votre opérateur.
Pour plus d'informations, reportez-vous à la section Suspendre les passerelles.
Note : La migration en libre-service n'est pas prise en charge sur les passerelles de partenaires.
- Dispositifs Edge connectés (Connected Edges) : affiche le nombre de dispositifs Edge connectés à la passerelle. Cette option s'affiche uniquement lorsque la passerelle est activée.
- Mode d'authentification de la passerelle (Gateway Authentication Mode) : sélectionnez le mode d'authentification de la passerelle parmi les options disponibles suivantes :
- Certificat désactivé (Certificate Deactivated) : la passerelle utilise un mode de clé prépartagée d'authentification.
- Acquisition de certificat (Certificate Acquire) : cette option est sélectionnée par défaut et indique à la passerelle d'acquérir un certificat auprès de l'autorité de certification du dispositif SASE Orchestrator, en générant une paire de clés et en envoyant une demande de signature de certificat à Orchestrator. Une fois le certificat acquis, la passerelle utilise celui-ci pour l'authentification sur le dispositif SASE Orchestrator et pour l'établissement de tunnels VCMP.
Note : Après l'acquisition du certificat, l'option peut être mise à jour sur Certificat requis (Certificate Required).
- Certificat requis (Certificate Required) : la passerelle utilise le certificat PKI. Les opérateurs peuvent modifier la fenêtre de temps de renouvellement du certificat pour les passerelles à l'aide de la propriété système
gateway.certificate.renewal.window
.
Note : Lorsque le certificat de la passerelle est révoqué, cette dernière ne reçoit pas la liste de révocation des certificats (CRL), car elle perd immédiatement la connexion TLS. La passerelle reste quand même fonctionnelle.Note : La conception QuickSec actuelle vérifie la validité du délai de CRL. La validité du délai CRL doit correspondre au délai actuel des dispositifs Edge pour que la CRL ait une incidence sur la nouvelle connexion établie. Pour mettre en œuvre cette opération, veillez à mettre à jour correctement le délai d'Orchestrator pour qu'il corresponde à la date et à l'heure des dispositifs Edge. - Adresse IP (IP Address) : affiche l'adresse IP publique que les liens WAN publics d'un dispositif Edge utilisent pour se connecter à la passerelle. Cette adresse IP est utilisée pour identifier de manière unique la passerelle. Si vous avez configuré la passerelle avec des adresses IPv4 et IPv6, ce champ affiche les deux adresses IP.
Si vous avez créé une passerelle IPv4 uniquement ou si une passerelle IPv4 existante a été mise à niveau à partir de versions précédentes, vous pouvez entrer l'adresse IPv6 afin de prendre en charge la double pile. Une fois que vous enregistrez les modifications, l'adresse IPv6 n'est pas envoyée immédiatement aux dispositifs Edge. Vous pouvez déclencher l'opération de rééquilibrage pour transférer l'adresse IPv6 vers le client et les dispositifs Edge associés manuellement, sinon l'adresse IPv6 est envoyée aux dispositifs Edge lors de la prochaine mise à jour du plan de contrôle.
Note : L'ajout d'une adresse IPv6 est une activité unique et, une fois que vous avez enregistré les modifications, vous ne pouvez plus modifier les adresses IP.Attention : Une adresse IPv6 incorrectement configurée, lorsqu'elle est transférée vers des dispositifs Edge, peut entraîner l'échec du tunneling IPv6 vers la passerelle IPv6. Dans ce cas, vous devez désactiver la passerelle et en créer une pour activer les adresses IPv4 et IPv6.
Contact et emplacement (Contact & Location) Affiche les coordonnées existantes. Si nécessaire, vous pouvez modifier ces informations. Paramètres Syslog (Syslog Settings) À partir de la version 4.5, les passerelles peuvent exporter les informations NAT via un serveur Syslog distant ou via Telegraf vers la destination souhaitée. Pour plus d'informations, reportez-vous à la section Configurer le Syslog d'entrée NAT pour les passerelles du Guide de l'opérateur de VMware SD-WAN publié à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html. Utilisation du client (Customer Usage) Affiche les détails de l'utilisation des différents types de passerelles attribués aux clients. Appartenance au pool (Pool Membership) Affiche les détails des pools de passerelles auxquels la passerelle actuelle est attribuée. Détails de la passerelle partenaire (transfert avancé) (Partner Gateway [Advanced Handoff] Details) Cette section est disponible uniquement si vous cochez la case Passerelle partenaire (Partner Gateway). Vous pouvez configurer des paramètres de transfert avancés pour la passerelle partenaire. Pour plus d'informations, reportez-vous à la section Détails de la passerelle partenaire (transfert avancé). Cloud Web Security Cette section permet de configurer l'adresse IP du point de terminaison Geneve (Generic Network Virtualization Encapsulation) et le nom des points de présence (Points-of-Presence, PoP) pour Cloud Web Security, si le rôle de passerelle de Cloud Web Security est activé. Détails de la passerelle partenaire (transfert avancé) (Partner Gateway [Advanced Handoff] Details)Vous pouvez configurer des paramètres de transfert avancés suivants pour la passerelle partenaire :
Attention : Il est recommandé de ne pas transférer les configurations IPv6 vers les passerelles de partenaires qui s'exécutent avec une version logicielle antérieure à la version 5.0.Option Description Routes statiques | Sous-réseaux (Static Routes | Subnets) : spécifiez les sous-réseaux ou les routes que SD-WAN Gateway doit annoncer à SD-WAN Edge. Cela s'applique globalement par SD-WAN Gateway et à TOUS les clients. Avec BGP, cette section n'est utilisée que s'il existe un sous-réseau partagé auquel tous les clients doivent accéder et si le transfert NAT est requis. Supprimez les sous-réseaux inutilisés de la liste des routes statiques si aucun sous-réseau ne doit être annoncé à SD-WAN Edge et si le transfert est de type NAT.
Vous pouvez cliquer sur l'onglet IPv4 ou IPv6 pour configurer le type d'adresse correspondant pour les sous-réseaux.
Sous-réseaux (Subnets) Entrez l'adresse IPv4 ou IPv6 du sous-réseau de la route statique que la passerelle doit annoncer au dispositif Edge. Coût (Cost) Entrez le coût pour appliquer la pondération sur les routes. La plage est comprise entre 0 et 255. Chiffrer (Encrypt) Cochez cette case pour chiffrer le trafic entre Edge et la passerelle. Transférer (Hand off) Sélectionnez le type de transfert VLAN ou NAT. Description Entrez éventuellement un texte descriptif pour la route statique. Paramètres des sondes ICMP et des répondeurs ping (ICMP Probes and Ping Responders Settings) Sonde de basculement ICMP (ICMP Failover Probe) : SD-WAN Gateway utilise la sonde ICMP pour vérifier l'accessibilité d'une adresse IP particulière et indique à SD-WAN Edge de basculer vers la passerelle secondaire si l'adresse IP n'est pas accessible. Cette option prend uniquement en charge les adresses IPv4. Balisage VLAN (VLAN Tagging) Sélectionnez la balise VLAN à appliquer aux paquets de la sonde ICMP dans la liste déroulante. Voici les options disponibles : - Aucun (None) : non balisé
- 802.1q : balise VLAN unique
- 802.1ad/QinQ(0x8100)/QinQ(0x9100) : deux balises VLAN
Adresse IP de destination (Destination IP address) Entrez l'adresse IP sur laquelle effectuer un ping. Fréquence (Frequency) Entrez l'intervalle de temps d'envoi de la demande ping (en secondes). La plage est comprise entre 1 et 60 secondes. Seuil (Threshold) Entrez le nombre de réponses ping manquées qui entraînent le marquage des routes comme étant inaccessibles. La plage est comprise entre 1 et 10. Répondeur ICMP (ICMP Responder) : permet à SD-WAN Gateway de répondre à la sonde ICMP à partir du routeur de next-hop lorsque les tunnels sont actifs. Cette option prend uniquement en charge les adresses IPv4. Adresse IP (IP address) Entrez l'adresse IP virtuelle qui répond aux demandes ping. Mode Sélectionnez l'un des modes suivants dans la liste déroulante : - Conditionnel (Conditional) : SD-WAN Gateway ne répond à la demande ICMP que lorsque son service est actif et lorsqu'au moins un tunnel est actif.
- Toujours (Always) : SD-WAN Gateway répond toujours à la demande ICMP du peer.
Note : Les paramètres de la sonde ICMP sont facultatifs et recommandés uniquement s'il est souhaitable qu'ICMP vérifie la santé de SD-WAN Gateway. Avec la prise en charge de BGP sur la passerelle partenaire, il n'est plus nécessaire d'utiliser la sonde ICMP pour le basculement et la convergence des routes. Pour plus d'informations sur la configuration des paramètres de prise en charge et de transfert BGP pour une passerelle partenaire, reportez-vous à la section Configurer le transfert aux partenaires. - Après avoir configuré les détails requis, cliquez sur Enregistrer les modifications (Save Changes).